تشغيل التطفل على بروتوكول DHCP واستكشاف أخطائه وإصلاحها على محولات Catalyst 9000 Switches
المحتويات
المقدمة
يصف هذا وثيقة كيف أن يركض واستكشاف أخطاء DHCP يتطفل على مادة حفازة 9000 sery مفتاح.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- بنية المحولات Catalyst 9000 Series Switches
- بنية برنامج Cisco IOS® XE
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- C9200
- C9300
- C9400
- C9500
- C9600
Cisco IOS® XE 16.12.X
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
التطفل على بروتوكول DHCP
التطفل على بروتوكول التكوين الديناميكي للمضيف (DHCP) هو ميزة أمان تستخدم للتحقق من حركة مرور DHCP لحظر أي حزمة DHCP ضارة. يعمل كجدار حماية بين منافذ المستخدم غير الموثوق بها ومنافذ خادم DHCP على الشبكة لمنع خوادم DHCP الضارة في الشبكة حيث قد يتسبب ذلك في قطع الخدمة.
عملية التطفل على بروتوكول DHCP
يعمل التطفل على بروتوكول DHCP باستخدام مفهوم الواجهات الموثوق بها وغير الموثوق بها. من خلال مسار حركة مرور DHCP، يتحقق المحول من حزم DHCP التي تم استقبالها على الواجهات ويحافظ على مسار حزم خادم DHCP (Offer & ACK) المتوقعة عبر الواجهات الموثوق بها. بمعنى آخر، تقوم الواجهات غير الموثوق بها بحظر حزم خادم DHCP.
يتم حظر حزم DHCP على الواجهات غير الموثوق بها.
- يتم تلقي حزمة من خادم DHCP، مثل DHCPpoffer، أو DHCPack، أو DHCPnak، أو حزمة DHCPwitery، من خارج الشبكة أو جدار الحماية. وهذا يمنع خادم DHCP المخادع من هجوم على الشبكة على المنافذ غير الموثوق بها.
- الحزمة المتلقاة على واجهة غير موثوق بها، والمصدر {upper}mac address وعنوان جهاز عميل DHCP غير متطابقين. يمنع هذا انتحال حزم DHCP من عميل مخادع يمكن أن يخلق هجوم رفض الخدمة على خادم DHCP.
- رسالة بث DHCPprelease أو DHCPDECLINE تحتوي على عنوان MAC في قاعدة بيانات ربط التطفل على بروتوكول DHCP، ولكن معلومات الواجهة في قاعدة بيانات التوثيق لا تطابق الواجهة التي تم تلقي الرسالة عليها. وهذا يؤدي إلى منع هجمات رفض الخدمة على العملاء.
- حزمة DHCP التي يتم إعادة توجيهها بواسطة عامل ترحيل DHCP والتي تتضمن عنوان IP لعامل ترحيل ليس 0.0.0.0، أو وكيل الترحيل يرسل حزمة تتضمن معلومات الخيار-82 إلى منفذ غير موثوق به. وهذا يؤدي إلى منع انتحال معلومات وكيل الترحيل على الشبكة.
يقوم المحول الذي تقوم فيه بتكوين التطفل على بروتوكول DHCP بإنشاء جدول التطفل على بروتوكول DHCP أو قاعدة بيانات ربط بروتوكول DHCP. يتم إستخدام هذا الجدول للاحتفاظ بتتبع عناوين IP التي تم تعيينها من خادم DHCP شرعي. كما يتم إستخدام قاعدة بيانات الربط من قبل ميزات أمان IOS الأخرى مثل الفحص الديناميكي ل ARP وواقي مصدر بروتوكول الإنترنت.
المخطط
التكوين
التكوين العام
1. Enable DHCP snooping globally on the switch
switch(config)#ip dhcp snooping
2. Designate ports that forward traffic toward the DHCP server as trusted
switch(config-if)#ip dhcp snooping trust
(Additional verification)
- List uplink ports according to the topology, ensure all the uplink ports toward the DHCP server are trusted
- List the port where the Legitimate DHCP Server is connected (include any Secondary DHCP Server)
- Ensure that no other port is configured as trusted
3. Configure DHCP rate limiting on each untrusted port (Optional)
switch(config-if)#ip dhcp snooping limit rate 10 << ----- 10 packets per second (pps)
4. Enable DHCP snooping in specific VLAN
switch(config)#ip dhcp snooping vlan 10 << ----- Allow the switch to snoop the traffic for that specific VLAN
5. Enable the insertion and removal of option-82 information DHCP packets
switch(config)#ip dhcp snooping information option <-- Enable insertion of option 82
switch(config)#no ip dhcp snooping information option <-- Disable insertion of option 82
### Example ###
Legitimate DHCP Server Interface and Secondary DHCP Server, if available
Server Interface
interface FortyGigabitEthernet1/0/5
switchport mode access
switchport mode access vlan 11
ip dhcp snooping trust
end
Uplink interface
interface FortyGigabitEthernet1/0/10
switchport mode trunk
ip dhcp snooping trust
end
User Interface << ----- All interfaces are UNTRUSTED by default
interface FortyGigabitEthernet1/0/2
switchport access vlan 10
switchport mode access
ip dhcp snooping limit rate 10 << ----- Optional
end
التحقق من الصحة
تأكد ما إذا تم تمكين التطفل على بروتوكول DHCP على شبكة VLAN المطلوبة وتأكد من إدراج الواجهات الموثوق بها وغير الموثوق بها بشكل جيد. إذا كان هناك معدل مكون، فتأكد من إدراجه أيضا.
switch#show ip dhcp snooping
Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
10-11
DHCP snooping is operational on following VLANs: <<---- Configured and operational on Vlan 10 & 11
10-11
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is disabled <<---- Option 82 can not be added to DHCP packet
circuit-id default format: vlan-mod-port
remote-id: 00a3.d144.1a80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
FortyGigabitEthernet1/0/2 no no 10 <<--- Trust is NOT set on this interface
Custom circuit-ids:
FortyGigabitEthernet1/0/10 yes yes unlimited <<--- Trust is set on this interface
Custom circuit-ids:
بمجرد أن يستلم المستخدمون عنوان IP بواسطة DHCP، يتم سردهم في هذا الإخراج.
- يزيل التطفل على بروتوكول DHCP الإدخال في قاعدة البيانات عند انتهاء صلاحية تأجير عنوان IP أو عندما يستلم المحول رسالة DHCPprelease من المضيف.
- تأكد من صحة المعلومات المدرجة لعنوان MAC للمستخدم النهائي.
c9500#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:A3:D1:44:20:46 10.0.0.3 85556 dhcp-snooping 10 FortyGigabitEthernet1/0/2
Total number of bindings: 1
يسرد هذا الجدول الأوامر المختلفة التي يمكن إستخدامها لمراقبة معلومات التطفل على بروتوكول DHCP.
| الغرض | |
| show ip dhcp snooping binding show ip dhcp snooping binding [ip-address] [mac-address] [interface ethernet slot/port] [vlan-id |
يعرض فقط الروابط التي تم تكوينها ديناميكيا في قاعدة بيانات ربط التطفل على بروتوكول DHCP، ويشار إليها أيضا بجدول ربط. - عنوان IP لإدخال الربط - عنوان MAC لإدخال الربط - واجهة إدخال الربط - شبكة VLAN لإدخال الربط |
| show ip dhcp snooping database |
يعرض حالة قاعدة بيانات ربط التطفل على بروتوكول DHCP وإحصاءاتها. |
| عرض إحصائيات التطفل على بروتوكول ip dhcp |
يعرض إحصائيات التطفل على بروتوكول DHCP في نموذج الملخص أو التفاصيل. |
| إظهار ربط مصدر ip |
عرض الروابط التي تم تكوينها بشكل ديناميكي ثابت. |
| show interface vlan xyz show buffer input-interface vlan xyz dump |
يتم إرسال حزمة DHCP إلى وكيل الترحيل الذي تم تكوينه في شبكة VLAN الخاصة بالعميل عبر شبكة VLAN SVI الخاصة بالعميل. إذا كانت قائمة انتظار الإدخال تعرض الحد الأقصى للإفلات أو الوصول إليه، فمن المحتمل أن تكون حزمة DHCP من العميل قد سقطت ولم تتمكن من الوصول إلى وكيل الترحيل الذي تم تكوينه. switch#show int vlan 670 |
استكشاف الأخطاء وإصلاحها
أستكشاف أخطاء البرامج وإصلاحها
دققت ما المفتاح يستلم. تتم معالجة هذه الحزم في مستوى تحكم وحدة المعالجة المركزية، لذلك تأكد من رؤية جميع الحزم في إتجاه الإدخال والإخراج، وتأكد من صحة المعلومات.
تتيح لك ميزة تصحيح الأخطاء المشروط تمكين تصحيح الأخطاء والسجلات انتقائيا لميزات معينة استنادا إلى مجموعة من الشروط التي تحددها. يفيد ذلك في إحتواء معلومات تصحيح الأخطاء فقط للمضيفين أو حركة المرور المحددة.
يشير الشرط إلى ميزة أو هوية، حيث يمكن أن تكون الهوية واجهة، عنوان IP، أو عنوان MAC وما إلى ذلك..
كيفية تمكين ميزة تصحيح الأخطاء المشروط لتصحيح أخطاء الحزم والأحداث عند أستكشاف أخطاء DHCP وإصلاحها.
| الغرض | |
| تصحيح الأخطاء شرط mac <mac address> مثال: switch#debug شرط mac bc16.6509.3314 |
تكوين تصحيح الأخطاء الشرطي لعنوان MAC المحدد. |
| debug condition vlan <vlan id> مثال: switch#debug شرط vlan 10 |
تكوين تصحيح الأخطاء الشرطي لشبكة VLAN المحددة. |
| واجهة شرط التصحيح <interface> مثال: switch#debug condition interface 2FiveGigE 1/0/8 |
تكوين تصحيح الأخطاء الشرطي للواجهة المحددة. |
لتصحيح أخطاء التطفل على بروتوكول DHCP، أستخدم الأوامر الموضحة في هذا الجدول.
| الغرض | |
| debug dhcp [تفصيل | أوبر | نسخ الاحتياطية] |
تفاصيل محتوى حزمة DHCP oper DHCP داخلي دعم تكرار عميل DHCP المتكرر |
| تفاصيل حزمة خادم debug ip dhcp |
فك ترددات الرسائل وإرسالها بالتفصيل. |
| debug ip dhcp نادل حادث |
الإبلاغ عن تعيينات العناوين، انتهاء مدة الإيجار، وما إلى ذلك. |
| debug ip dhcp snooping agent |
تصحيح أخطاء قاعدة بيانات التطفل على بروتوكول DHCP للقراءة والكتابة. |
| debug ip dhcp snooping event |
حدث تصحيح الأخطاء بين كل مكونات. |
| حزمة التطفل debug ip dhcp |
debug dhcp ربط في DHCP snooping وحدة نمطية. |
هذا نموذج إخراج جزئي من الأمر debug ip dhcp snooping.
Apr 14 16:16:46.835: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Fo1/0/2, MAC da: ffff.ffff.ffff, MAC sa: 00a3.d144.2046, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 00a3.d144.2046, efp_id: 0, vlan_id: 10, bootpflag:0x32768(Broadcast)
Apr 14 16:16:46.835: DHCP_SNOOPING: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (10)
Apr 14 16:16:48.837: DHCP_SNOOPING: received new DHCP packet from input interface (FortyGigabitEthernet1/0/10)
Apr 14 16:16:48.837: DHCP_SNOOPING: process new DHCP packet, message type: DHCPOFFER, input interface: Fo1/0/10, MAC da: ffff.ffff.ffff, MAC sa: 701f.539a.fe46, IP da: 255.255.255.255, IP sa: 10.0.0.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.0.0.5, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 00a3.d144.2046, efp_id: 0, vlan_id: 10, bootpflag:0x32768(Broadcast)
Apr 14 16:16:48.837: platform lookup dest vlan for input_if: FortyGigabitEthernet1/0/10, is NOT tunnel, if_output: NULL, if_output->vlan_id: 99999, pak->vlan_id: 10
Apr 14 16:16:48.837: DHCP_SNOOPING: direct forward dhcp replyto output port: FortyGigabitEthernet1/0/2.
Apr 14 16:16:48.838: DHCP_SNOOPING: received new DHCP packet from input interface (FortyGigabitEthernet1/0/2)
Apr 14 16:16:48.838: Performing rate limit check
Apr 14 16:16:48.838: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Fo1/0/2, MAC da: ffff.ffff.ffff, MAC sa: 00a3.d144.2046, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 00a3.d144.2046, efp_id: 0, vlan_id: 10, bootpflag:0x32768(Broadcast)
Apr 14 16:16:48.838: DHCP_SNOOPING: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (10)
Apr 14 16:16:48.839: DHCP_SNOOPING: received new DHCP packet from input interface (FortyGigabitEthernet1/0/10)
Apr 14 16:16:48.840: DHCP_SNOOPING: process new DHCP packet, message type: DHCPACK, input interface: Fo1/0/10, MAC da: ffff.ffff.ffff, MAC sa: 701f.539a.fe46, IP da: 255.255.255.255, IP sa: 10.0.0.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.0.0.5, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 00a3.d144.2046, efp_id: 0, vlan_id: 10, bootpflag:0x32768(Broadcast)
Apr 14 16:16:48.840: DHCP_SNOOPING: add binding on port FortyGigabitEthernet1/0/2 ckt_id 0 FortyGigabitEthernet1/0/2
Apr 14 16:16:48.840: DHCP_SNOOPING: added entry to table (index 331)
Apr 14 16:16:48.840: DHCP_SNOOPING: dump binding entry: Mac=00:A3:D1:44:20:46 Ip=10.0.0.5 Lease=86400 Type=dhcp-snooping Vlan=10 If=FortyGigabitEthernet1/0/2
Apr 14 16:16:48.840: No entry found for mac(00a3.d144.2046) vlan(10) FortyGigabitEthernet1/0/2
Apr 14 16:16:48.840: host tracking not found for update add dynamic (10.0.0.5, 0.0.0.0, 00a3.d144.2046) vlan(10)
Apr 14 16:16:48.840: platform lookup dest vlan for input_if: FortyGigabitEthernet1/0/10, is NOT tunnel, if_output: NULL, if_output->vlan_id: 99999, pak->vlan_id: 10
Apr 14 16:16:48.840: DHCP_SNOOPING: direct forward dhcp replyto output port: FortyGigabitEthernet1/0/2.
لتصحيح أخطاء أحداث التطفل على بروتوكول DHCP، أستخدم الخطوات التالية:
خطوات الملخص
- تمكين
- debug platform condition mac {mac-address }
- بدء شرط منصة تصحيح الأخطاء
- إظهار شرط النظام الأساسي أو إظهار تصحيح الأخطاء
- إيقاف شرط منصة تصحيح الأخطاء
- show platform software trace message ios R0 reverse | تضمين DHCP
- مسح شرط النظام الأساسي الكل
الخطوات التفصيلية
| أمر أو إجراء | الغرض | |
| الخطوة 1 |
تمكين مثال: switch#enable |
تمكين وضع EXEC ذي الامتيازات.
|
| الخطوة 2 |
debug platform condition mac {mac address} مثال: switch#debug platform condition mac 0001.6509.3314 |
تكوين تصحيح الأخطاء الشرطي لعنوان MAC المحدد. |
| الخطوة 3 |
بدء شرط منصة تصحيح الأخطاء مثال: بدء switch#debug platform condition |
يبدأ تصحيح الأخطاء الشرطي (هذا يمكن أن يبدأ التتبع المشع إذا كان هناك تطابق في أحد الشروط). |
| الخطوة 4 |
إظهار شرط النظام الأساسي أو إظهار تصحيح الأخطاء مثال: switch#show platform شرط switch#show debug |
يعرض مجموعة الشروط الحالية. |
| الخطوة 5 |
إيقاف شرط منصة تصحيح الأخطاء مثال: switch#debug منصة إيقاف شرط |
إيقاف تصحيح الأخطاء الشرطي (يمكن أن يؤدي ذلك إلى إيقاف التتبع الإشعاعي). |
| الخطوة 6 |
show platform software trace message ios R0 reverse | تضمين DHCP مثال: switch#show platform software trace message ios R0 reverse | تضمين DHCP |
عرض سجلات HP التي تم دمجها من أحدث ملف تتبع. |
| الخطوة 7 |
مسح شرط النظام الأساسي الكل مثال: switch# مسح شرط النظام الأساسي الكل |
يعمل على مسح كافة الشروط. |
هذا مثال جزئي على إخراج عينة من الأمر debug platform dhcp-snoop all.
debug platform dhcp-snoop all
DHCP Server UDP port(67)
DHCP Client UDP port(68)
RELEASE
Apr 14 16:44:18.629: pak->vlan_id = 10
Apr 14 16:44:18.629: dhcp packet src_ip(10.0.0.6) dest_ip(10.0.0.1) src_udp(68) dest_udp(67) src_mac(00a3.d144.2046) dest_mac(701f.539a.fe46)
Apr 14 16:44:18.629: ngwc_dhcpsn_process_pak(305): Packet handedover to SISF on vlan 10
Apr 14 16:44:18.629: dhcp pkt processing routine is called for pak with SMAC = 00a3.d144.2046{mac} and SRC_ADDR = 10.0.0.6{ipv4}
DISCOVER
Apr 14 16:44:24.637: dhcp packet src_ip(0.0.0.0) dest_ip(255.255.255.255) src_udp(68) dest_udp(67) src_mac(00a3.d144.2046) dest_mac(ffff.ffff.ffff)
Apr 14 16:44:24.637: ngwc_dhcpsn_process_pak(305): Packet handedover to SISF on vlan 10
Apr 14 16:44:24.637: dhcp pkt processing routine is called for pak with SMAC = 00a3.d144.2046{mac} and SRC_ADDR = 0.0.0.0{ipv4}
Apr 14 16:44:24.637: sending dhcp packet out after processing with SMAC = 00a3.d144.2046{mac} and SRC_ADDR = 0.0.0.0{ipv4}
Apr 14 16:44:24.638: pak->vlan_id = 10
OFFER
Apr 14 16:44:24.638: dhcp packet src_ip(10.0.0.1) dest_ip(255.255.255.255) src_udp(67) dest_udp(68) src_mac(701f.539a.fe46) dest_mac(ffff.ffff.ffff)
Apr 14 16:44:24.638: ngwc_dhcpsn_process_pak(305): Packet handedover to SISF on vlan 10
Apr 14 16:44:24.638: dhcp pkt processing routine is called for pak with SMAC = 701f.539a.fe46{mac} and SRC_ADDR = 10.0.0.1{ipv4}
REQUEST
Apr 14 16:44:24.638: ngwc_dhcpsn_process_pak(284): Packet handedover to SISF on vlan 10
c9500#dhcp pkt processing routine is called for pak with SMAC = 0a3.d144.2046{mac} and SRC_ADDR = 0.0.0.0{ipv4}sending dhcppacket outafter processing with SMAC = 0a3.d144.2046{mac} and SRC_ADDR = 0.0.0.0{ipv4} sending dhcp packet out after processing with SMAC = 0a3.d144.2046{mac} and SRC_ADDR = 0.0.0.0{ipv4} pak->vlan_id = 10.
ACK
Apr 14 16:44:24.640: dhcp paket src_ip(10.10.10.1) dest_ip(255.255.255.255) src_udp(67) dest_udp(68) src_mac(701f.539a.fe46) dest_mac(ffff.ffff.ffff)
Apr 14 16:44:24.640: ngwc_dhcpsn_process_pak(284): Packet handedover to SISF on vlan 10dhcp pkt processing routine is called for pak with SMAC = 701f.539a.fe46{mac} and SRC_ADDR = 10.10.10.1{ipv4}.
يسرد هذا الجدول الأوامر المختلفة التي يمكن إستخدامها لتصحيح أخطاء التطفل على بروتوكول DHCP في النظام الأساسي.
| الغرض |
|
| switch#debug platform dhcp-snoop [all | حزمة | pd-shim] |
جميع التطفل على بروتوكول DHCP الخاص ببروتوكول NGWC معلومات تصحيح أخطاء الحزمة NGWC DHCP الخاصة بالتطفل على الحزمة معلومات تصحيح أخطاء PD-SHIM NGWC DHCP Snooping IOS Shim |
| switch#debug platform software infrastructure punt dhcp-snoop |
ربط أن يكون إستلمت على ال FP أن يكون لكمت إلى التحكم مستوى). |
| switch#debug platform software |
الحزم التي يتم حقنها في FP من مستوى التحكم. |
أستكشاف أخطاء حركة مرور المسار/المثبت وإصلاحها (وحدة المعالجة المركزية)
تحقق من منظور FED من حركة مرور البيانات التي يتم استقبالها في كل قائمة انتظار لوحدة المعالجة المركزية (يعد التطفل على بروتوكول DHCP نوع حركة مرور البيانات التي تتم معالجتها بواسطة مستوى التحكم).
- عندما تأتي حركة المرور إلى المحول، يتم إرسالها إلى وحدة المعالجة المركزية (CPU) في إتجاه العملة الإلكترونية (PUNT) ويتم إرسالها إلى قائمة انتظار التطفل على بروتوكول DHCP.
- ما إن تتم معالجة حركة المرور بواسطة المفتاح، الحركة مرور يترك عن طريق الإتجاه حقن. يقع عرض DHCP وحزم ACK في قائمة انتظار التحكم/التحكم في L2.
c9500#show platform software fed switch active punt cause summary
Statistics for all causes
Cause Cause Info Rcvd Dropped
------------------------------------------------------------------------------
21 RP<->QFP keepalive 8533 0
79 dhcp snoop 71 0 <<---- If drop counter increases, there can be an issue with this feature
96 Layer2 control protocols 45662 0
109 snoop packets 100 0
------------------------------------------------------------------------------
c9500#show platform software fed sw active inject cause summary
Statistics for all causes
Cause Cause Info Rcvd Dropped
------------------------------------------------------------------------------
1 L2 control/legacy 128354 0 <<---- dropped counter must NOT increase
2 QFP destination lookup 18 0
5 QFP <->RP keepalive 8585 0
12 ARP request or response 68 0
25 Layer2 frame to BD 81 0
------------------------------------------------------------------------------
يمكنك إستخدام هذا الأمر لتأكيد حركة المرور التي يتم تثبيتها على وحدة المعالجة المركزية، والتحقق من قيام التطفل على بروتوكول DHCP بإسقاط حركة المرور.
c9500#show platform software fed switch active punt cpuq rates Punt Rate CPU Q Statistics Packets per second averaged over 10 seconds, 1 min and 5 mins ====================================================================================== Q | Queue | Rx | Rx | Rx | Drop | Drop | Drop no | Name | 10s | 1min | 5min | 10s | 1min | 5min ====================================================================================== 0 CPU_Q_DOT1X_AUTH 0 0 0 0 0 0 1 CPU_Q_L2_CONTROL 0 0 0 0 0 0 2 CPU_Q_FORUS_TRAFFIC 0 0 0 0 0 0 3 CPU_Q_ICMP_GEN 0 0 0 0 0 0 4 CPU_Q_ROUTING_CONTROL 0 0 0 0 0 0 5 CPU_Q_FORUS_ADDR_RESOLUTION 0 0 0 0 0 0 6 CPU_Q_ICMP_REDIRECT 0 0 0 0 0 0 7 CPU_Q_INTER_FED_TRAFFIC 0 0 0 0 0 0 8 CPU_Q_L2LVX_CONTROL_PKT 0 0 0 0 0 0 9 CPU_Q_EWLC_CONTROL 0 0 0 0 0 0 10 CPU_Q_EWLC_DATA 0 0 0 0 0 0 11 CPU_Q_L2LVX_DATA_PKT 0 0 0 0 0 0 12 CPU_Q_BROADCAST 0 0 0 0 0 0 13 CPU_Q_LEARNING_CACHE_OVFL 0 0 0 0 0 0 14 CPU_Q_SW_FORWARDING 0 0 0 0 0 0 15 CPU_Q_TOPOLOGY_CONTROL 2 2 2 0 0 0 16 CPU_Q_PROTO_SNOOPING 0 0 0 0 0 0 17 CPU_Q_DHCP_SNOOPING 0 0 0 0 0 0 <<---- drop counter must NOT increase 18 CPU_Q_TRANSIT_TRAFFIC 0 0 0 0 0 0 19 CPU_Q_RPF_FAILED 0 0 0 0 0 0 20 CPU_Q_MCAST_END_STATION_SERVICE 0 0 0 0 0 0 21 CPU_Q_LOGGING 0 0 0 0 0 0 22 CPU_Q_PUNT_WEBAUTH 0 0 0 0 0 0 23 CPU_Q_HIGH_RATE_APP 0 0 0 0 0 0 24 CPU_Q_EXCEPTION 0 0 0 0 0 0 25 CPU_Q_SYSTEM_CRITICAL 8 8 8 0 0 0 26 CPU_Q_NFL_SAMPLED_DATA 0 0 0 0 0 0 27 CPU_Q_LOW_LATENCY 0 0 0 0 0 0 28 CPU_Q_EGR_EXCEPTION 0 0 0 0 0 0 29 CPU_Q_FSS 0 0 0 0 0 0 30 CPU_Q_MCAST_DATA 0 0 0 0 0 0 31 CPU_Q_GOLD_PKT 0 0 0 0 0 0 -------------------------------------------------------------------------------------
أستكشاف أخطاء الأجهزة وإصلاحها
برنامج تشغيل محرك إعادة التوجيه (FED)
الاحتياطي الفيدرالي هو السائق الذي برمجت ال ASIC. يتم إستخدام أوامر FED للتحقق من تطابق حالات الأجهزة والبرامج.
احصل على قيمة di_handle.
- يشير مؤشر DI إلى فهرس الوجهة لمنفذ معين.
c9500#show platform software fed switch active security-fed dhcp-snoop vlan vlan-id 10
Platform Security DHCP Snooping Vlan Information
Value of Snooping DI handle is:: 0x7F7FAC23E438 <<---- If DHCP Snooping is not enabled the hardware handle can not be present
Port Trust Mode
----------------------------------------------------------------------------------
FortyGigabitEthernet1/0/10 trust <<---- Ensure TRUSTED ports are listed
تحقق من تخطيط IFM لتحديد ASIC وجوهر المنافذ.
- IFM هو فهرس واجهة داخلي تم تعيينه لمنفذ/core/asic معين.
c9500#show platform software fed switch active ifm mappings
Interface IF_ID Inst Asic Core Port SubPort Mac Cntx LPN GPN Type Active
FortyGigabitEthernet1/0/10 0xa 3 1 1 1 0 4 4 2 2 NIF Y
أستخدم DI_Handle للحصول على فهرس الأجهزة.
c9500#show platform hardware fed switch active fwd-asic abstraction print-resource-handle 0x7F7FAC23E438 0
Handle:0x7f7fac23e438 Res-Type:ASIC_RSC_DI Res-Switch-Num:255 Asic-Num:255 Feature-ID:AL_FID_DHCPSNOOPING Lkp-ftr-id:LKP_FEAT_INVALID ref_count:1
priv_ri/priv_si Handle: (nil)Hardware Indices/Handles: index0:0x5f03 mtu_index/l3u_ri_index0:0x0 index1:0x5f03 mtu_index/l3u_ri_index1:0x0 index2:0x5f03 mtu_index/l3u_ri_index2:0x0 index3:0x5f03 mtu_index/l3u_ri_index3:0x0
<SNIP> <-- Index is 0x5f03
تحويل من سداسي عشر قيمة الفهرس 0x5f03 إلى عشري.
0x5f03 = 24323
استعملت هذا فهرسة قيمة بعشري، وال ASIC و Core قيمة في هذا أمر أن يرى ما رايات يكون ثبتت للميناء.
c9500#show platform hardware fed switch 1 fwd-asic regi read register-name SifDestinationIndexTable-24323 asic 1 core 1
For asic 1 core 1
Module 0 - SifDestinationIndexTable[0][24323] <-- the decimal hardware index matches 0x5f03 = 24323
copySegment0 : 0x1 <<---- If you find this as 0x0, means that the traffic is not forwarded out of this port. (refer to Cisco bug ID CSCvi39202)copySegment1 : 0x1
dpuSegment0 : 0x0
dpuSegment1 : 0x0
ecUnicast : 0x0
etherChannel0 : 0x0
etherChannel1 : 0x0
hashPtr1 : 0x0
stripSegment : 0x0
ضمنت تمكين التطفل على بروتوكول DHCP لشبكة VLAN المحددة.
c9500#show platform software fed switch 1 vlan 10
VLAN Fed Information
Vlan Id IF Id LE Handle STP Handle L3 IF Handle SVI IF ID MVID
-----------------------------------------------------------------------------------------------------------------------
10 0x0000000000420011 0x00007f7fac235fa8 0x00007f7fac236798 0x0000000000000000 0x0000000000000000 15
c9500#show platform hardware fed switch active fwd-asic abstraction print-resource-handle 0x00007f7fac235fa8 1 <<---- Last number might be 1 or 0, 1 means detailed, 0 means brief output
Handle:0x7f7fac235fa8 Res-Type:ASIC_RSC_VLAN_LE Res-Switch-Num:255 Asic-Num:255 Feature-ID:AL_FID_L2 Lkp-ftr-id:LKP_FEAT_INVALID ref_count:1
priv_ri/priv_si Handle: (nil)Hardware Indices/Handles: index0:0xf mtu_index/l3u_ri_index0:0x0 sm handle [ASIC 0]: 0x7f7fac23b908 index1:0xf mtu_index/l3u_ri_index1:0x0 sm handle [ASIC 1]: 0x7f7fac23cde8 index2:0xf mtu_index/l3u_ri_index2:0x0 index3:0xf mtu_index/l3u_ri_index3:0x0
Cookie length: 56
00 00 00 00 00 00 00 00 0a 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Detailed Resource Information (ASIC_INSTANCE# 0)
----------------------------------------
LEAD_VLAN_IGMP_MLD_SNOOPING_ENABLED_IPV4 value 1 Pass <<---- Verify the highlighted values, if any are flagged as 0 there is an issue with the hardware programming.
LEAD_VLAN_IGMP_MLD_SNOOPING_ENABLED_IPV6 value 0 Pass
LEAD_VLAN_ARP_OR_ND_SNOOPING_ENABLED_IPV4 value 1 Pass
LEAD_VLAN_ARP_OR_ND_SNOOPING_ENABLED_IPV6 value 1 Pass
LEAD_VLAN_BLOCK_L2_LEARN value 0 Pass
LEAD_VLAN_CONTENT_MATCHING_ENABLED value 0 Pass
LEAD_VLAN_DEST_MOD_INDEX_TVLAN_LE value 0 Pass
LEAD_VLAN_DHCP_SNOOPING_ENABLED_IPV4 value 1 Pass
LEAD_VLAN_DHCP_SNOOPING_ENABLED_IPV6 value 1 Pass
LEAD_VLAN_ENABLE_SECURE_VLAN_LEARNING_IPV4 value 0 Pass
LEAD_VLAN_ENABLE_SECURE_VLAN_LEARNING_IPV6 value 0 Pass
LEAD_VLAN_EPOCH value 0 Pass
LEAD_VLAN_L2_PROCESSING_STP_TCN value 0 Pass
LEAD_VLAN_L2FORWARD_IPV4_MULTICAST_PKT value 0 Pass
LEAD_VLAN_L2FORWARD_IPV6_MULTICAST_PKT value 0 Pass
LEAD_VLAN_L3_IF_LE_INDEX_PRIO value 0 Pass
LEAD_VLAN_L3IF_LE_INDEX value 0 Pass
LEAD_VLAN_LOOKUP_VLAN value 15 Pass
LEAD_VLAN_MCAST_LOOKUP_VLAN value 15 Pass
LEAD_VLAN_RIET_OFFSET value 4095 Pass
LEAD_VLAN_SNOOPING_FLOODING_ENABLED_IGMP_OR_MLD_IPV4 value 1 Pass
LEAD_VLAN_SNOOPING_FLOODING_ENABLED_IGMP_OR_MLD_IPV6 value 1 Pass
LEAD_VLAN_SNOOPING_PROCESSING_STP_TCN_IGMP_OR_MLD_IPV4 value 0 Pass
LEAD_VLAN_SNOOPING_PROCESSING_STP_TCN_IGMP_OR_MLD_IPV6 value 0 Pass
LEAD_VLAN_VLAN_CLIENT_LABEL value 0 Pass
LEAD_VLAN_VLAN_CONFIG value 0 Pass
LEAD_VLAN_VLAN_FLOOD_ENABLED value 0 Pass
LEAD_VLAN_VLAN_ID_VALID value 1 Pass
LEAD_VLAN_VLAN_LOAD_BALANCE_GROUP value 15 Pass
LEAD_VLAN_VLAN_ROLE value 2 Pass
LEAD_VLAN_VLAN_FLOOD_MODE_BITS value 3 Pass
LEAD_VLAN_LVX_VLAN value 0 Pass
LEAD_VLAN_EGRESS_DEJAVU_CANON value 0 Pass
LEAD_VLAN_EGRESS_INGRESS_VLAN_MODE value 0 Pass
LEAD_VLAN_EGRESS_LOOKUP_VLAN value 0 Pass
LEAD_VLAN_EGRESS_LVX_VLAN value 0 Pass
LEAD_VLAN_EGRESS_SGACL_DISABLED value 3 Pass
LEAD_VLAN_EGRESS_VLAN_CLIENT_LABEL value 0 Pass
LEAD_VLAN_EGRESS_VLAN_ID_VALID value 1 Pass
LEAD_VLAN_EGRESS_VLAN_LOAD_BALANCE_GROUP value 15 Pass
LEAD_VLAN_EGRESS_INTRA_POD_BCAST value 0 Pass
LEAD_VLAN_EGRESS_DHCP_SNOOPING_ENABLED_IPV4 value 1 Pass
LEAD_VLAN_EGRESS_DHCP_SNOOPING_ENABLED_IPV6 value 1 Pass
LEAD_VLAN_EGRESS_VXLAN_FLOOD_MODE value 0 Pass
LEAD_VLAN_MAX value 0 Pass
<SNIP>
يسرد هذا الجدول مختلف أوامر Punject show/debug الشائعة التي يمكن إستخدامها لتتبع مسار حزمة DHCP على شبكة مباشرة.
| أوامر PUNT / INJECT show و debug الشائعة |
| debug plat soft fed switch acti inject add-filter سبب 255 sub_cause 0 src_mac 0 0 dst_mac 0 0 src_ipv4 192.168.12.1 dst_ipv4 0.0.0.0 if_id 0xf set platform software trace fed [switch<num|active|standby>] inject verbose — > إستخدام أمر عامل التصفية الموضح لتحديد نطاق التتبع إلى هذا المضيف المعين set platform software trace fed [switch<num|active|standby>] inject debug boot — > لإعادة التحميل إعداد تتبع برنامج النظام الأساسي ل [switch<num|active|standby>] ضجيج كاذب show platform software fed [switch<num|active|standby>] ملخص سبب الإدخال show platform software fed [switch<num|active|standby>] ملخص السبب show platform software fed [switch<num|active|standby>] inject cpuq 0 show platform software fed [switch<num|active|standby>] punt cpuq 17 (قائمة انتظار DHCP) show platform software fed [switch<num|active|standby>] نشط لالتقاط حزم الإدخال إظهار مشروع البنية الأساسية لبرنامج النظام الأساسي إظهار حساب البنية الأساسية لبرنامج النظام الأساسي إظهار برنامج تشغيل LSMPI الخاص بالبنية الأساسية لبرنامج النظام الأساسي برنامج منصة تصحيح الأخطاء الموجود داخل DHCP إدخال برنامج نظام تصحيح الأخطاء الأساسي |
تكون هذه الأوامر مفيدة للتحقق من إستلام أي حزمة DHCP لعميل معين.
- تتيح لك هذه الميزة التقاط جميع إتصالات التطفل على بروتوكول DHCP المرتبطة بعنوان MAC للعميل المحدد الذي تتم معالجته بواسطة وحدة المعالجة المركزية عبر برنامج IOS-DHCP.
- هذه الوظيفة مدعومة لكل من حركة مرور بيانات IPv4 و IPv6.
- يتم تمكين هذه الميزة تلقائيا.
| switch#show platform dhcpsnooping client stats {mac-address} |
| switch#show platform dhcpv6snooping ipV6 client stats {mac-address} |
C9300#show platform dhcpsnooping client stats 0000.1AC2.C148 DHCPSN: DHCP snooping server DHCPD: DHCP protocol daemen L2FWD: Transmit Packet to driver in L2 format FWD: Transmit Packet to driver Packet Trace for client MAC 0000.1AC2.C148: Timestamp Destination MAC Destination Ip VLAN Message Handler:Action -------------------- ---------------- --------------- ---- ------------ -------------- 06-27-2019 20:48:28 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPDISCOVER PUNT:RECEIVED 06-27-2019 20:48:28 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPDISCOVER PUNT:TO_DHCPSN 06-27-2019 20:48:28 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPDISCOVER BRIDGE:RECEIVED 06-27-2019 20:48:28 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPDISCOVER BRIDGE:TO_DHCPD 06-27-2019 20:48:28 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPDISCOVER BRIDGE:TO_INJECT 06-27-2019 20:48:28 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPDISCOVER L2INJECT:TO_FWD 06-27-2019 20:48:28 0000.0000.0000 192.168.1.1 0 DHCPDISCOVER INJECT:RECEIVED 06-27-2019 20:48:28 0000.0000.0000 192.168.1.1 0 DHCPDISCOVER INJECT:TO_L2FWD 06-27-2019 20:48:30 0000.0000.0000 10.1.1.3 0 DHCPOFFER INJECT:RECEIVED 06-27-2019 20:48:30 0000.1AC2.C148 10.1.1.3 0 DHCPOFFER INTERCEPT:RECEIVED 06-27-2019 20:48:30 0000.1AC2.C148 10.1.1.3 88 DHCPOFFER INTERCEPT:TO_DHCPSN 06-27-2019 20:48:30 0000.1AC2.C148 10.1.1.3 88 DHCPOFFER INJECT:CONSUMED 06-27-2019 20:48:30 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPREQUEST PUNT:RECEIVED 06-27-2019 20:48:30 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPREQUEST PUNT:TO_DHCPSN 06-27-2019 20:48:30 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPREQUEST BRIDGE:RECEIVED 06-27-2019 20:48:30 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPREQUEST BRIDGE:TO_DHCPD 06-27-2019 20:48:30 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPREQUEST BRIDGE:TO_INJECT 06-27-2019 20:48:30 FFFF.FFFF.FFFF 255.255.255.255 88 DHCPREQUEST L2INJECT:TO_FWD 06-27-2019 20:48:30 0000.0000.0000 192.168.1.1 0 DHCPREQUEST INJECT:RECEIVED 06-27-2019 20:48:30 0000.0000.0000 192.168.1.1 0 DHCPREQUEST INJECT:TO_L2FWD 06-27-2019 20:48:30 0000.0000.0000 10.1.1.3 0 DHCPACK INJECT:RECEIVED 06-27-2019 20:48:30 0000.1AC2.C148 10.1.1.3 0 DHCPACK INTERCEPT:RECEIVED 06-27-2019 20:48:30 0000.1AC2.C148 10.1.1.3 88 DHCPACK INTERCEPT:TO_DHCPSN
أستخدم هذه الأوامر لمسح التتبع.
| switch#clear platform dhcpsnooping pkt-trace ipV4 |
| switch#clear platform dhcpsnooping pkt-trace ipV6 |
التقاط حزمة مسار وحدة المعالجة المركزية
تأكيد ما إذا كانت حزم التطفل على بروتوكول DHCP تصل وتغادر مستوى التحكم بشكل صحيح.
debug platform software fed [switch<num|active|standby>] punt/inject packet-capture start
debug platform software fed [switch<num|active|standby>] punt/inject packet-capture stop
show platform software fed [switch<num|active|standby>] punt/inject packet-capture brief
### PUNT ###
DISCOVER
------ Punt Packet Number: 16, Timestamp: 2021/04/14 19:10:09.924 ------
interface : physical: FortyGigabitEthernet1/0/2[if-id: 0x0000000a], pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 79 [dhcp snoop], sub-cause: 11, q-no: 17, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 00a3.d144.2046
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 0.0.0.0
ipv4 hdr : packet len: 347, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 67, src port: 68
OFFER
------ Punt Packet Number: 23, Timestamp: 2021/04/14 19:10:11.926 ------
interface : physical: FortyGigabitEthernet1/0/10[if-id: 0x00000012], pal: FortyGigabitEthernet1/0/10 [if-id: 0x00000012]
metadata : cause: 79 [dhcp snoop], sub-cause: 11, q-no: 17, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 701f.539a.fe46
ether hdr : vlan: 10, ethertype: 0x8100
ipv4 hdr : dest ip: 255.255.255.255, src ip: 10.0.0.1
ipv4 hdr : packet len: 330, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 68, src port: 67
REQUEST
------ Punt Packet Number: 24, Timestamp: 2021/04/14 19:10:11.927 ------
interface : physical: FortyGigabitEthernet1/0/2[if-id: 0x0000000a], pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 79 [dhcp snoop], sub-cause: 11, q-no: 17, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 00a3.d144.2046
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 0.0.0.0
ipv4 hdr : packet len: 365, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 67, src port: 68
ACK
------ Punt Packet Number: 25, Timestamp: 2021/04/14 19:10:11.929 ------
interface : physical: FortyGigabitEthernet1/0/10[if-id: 0x00000012], pal: FortyGigabitEthernet1/0/10 [if-id: 0x00000012]
metadata : cause: 79 [dhcp snoop], sub-cause: 11, q-no: 17, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 701f.539a.fe46
ether hdr : vlan: 10, ethertype: 0x8100
ipv4 hdr : dest ip: 255.255.255.255, src ip: 10.0.0.1
ipv4 hdr : packet len: 330, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 68, src port: 67
### INJECT ###
DISCOVER
------ Inject Packet Number: 33, Timestamp: 2021/04/14 19:53:01.273 ------
interface : pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 25 [Layer2 frame to BD], sub-cause: 1, q-no: 0, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 00a3.d144.2046
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 0.0.0.0
ipv4 hdr : packet len: 347, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 67, src port: 68
OFFER
------ Inject Packet Number: 51, Timestamp: 2021/04/14 19:53:03.275 ------
interface : pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 1 [L2 control/legacy], sub-cause: 0, q-no: 0, linktype: MCP_LINK_TYPE_LAYER2 [10]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 701f.539a.fe46
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 10.0.0.1
ipv4 hdr : packet len: 330, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 68, src port: 67
REQUEST
------ Inject Packet Number: 52, Timestamp: 2021/04/14 19:53:03.276 ------
interface : pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 25 [Layer2 frame to BD], sub-cause: 1, q-no: 0, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 00a3.d144.2046
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 0.0.0.0
ipv4 hdr : packet len: 365, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 67, src port: 68
ACK
------ Inject Packet Number: 53, Timestamp: 2021/04/14 19:53:03.278 ------
interface : pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 1 [L2 control/legacy], sub-cause: 0, q-no: 0, linktype: MCP_LINK_TYPE_LAYER2 [10]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 701f.539a.fe46
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 10.0.0.1
ipv4 hdr : packet len: 330, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 68, src port: 67
مسارات مفيدة
وهذه هي آثار ثنائية تعرض الأحداث لكل عملية أو مكون. في هذا المثال، تظهر الآثار معلومات حول مكون DHCPSN.
- يمكن تدوير المسارات يدويا، مما يعني أنه يمكنك إنشاء ملف جديد قبل البدء في أستكشاف الأخطاء وإصلاحها بحيث يحتوي على معلومات أكثر نظافة.
9500#request platform software trace rotate all
9500#set platform software trace fed [switch<num|active|standby>] dhcpsn verbose
c9500#show logging proc fed internal | inc dhcp <<---- DI_Handle must match with the output which retrieves the DI handle
2021/04/14 19:24:19.159536 {fed_F0-0}{1}: [dhcpsn] [17035]: (info): VLAN event on vlan 10, enabled 1
2021/04/14 19:24:19.159975 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): Program trust ports for this vlan
2021/04/14 19:24:19.159978 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): GPN (10) if_id (0x0000000000000012) <<---- if_id must match with the TRUSTED port
2021/04/14 19:24:19.160029 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): trusted_if_q size=1 for vlan=10
2021/04/14 19:24:19.160041 {fed_F0-0}{1}: [dhcpsn] [17035]: (ERR): update ri has failed vlanid[10]
2021/04/14 19:24:19.160042 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): vlan mode changed to enable
2021/04/14 19:24:27.507358 {fed_F0-0}{1}: [dhcpsn] [23451]: (debug): get di for vlan_id 10
2021/04/14 19:24:27.507365 {fed_F0-0}{1}: [dhcpsn] [23451]: (debug): Allocated rep_ri for vlan_id 10
2021/04/14 19:24:27.507366 {fed_F0-0}{1}: [inject] [23451]: (verbose): Changing di_handle from 0x7f7fac36b408 to 0x7f7fac23e438 by dhcp snooping
2021/04/14 19:24:27.507394 {fed_F0-0}{1}: [inject] [23451]: (debug): TX: getting REP RI from dhcpsn failed for egress vlan 10
2021/04/14 19:24:29.511774 {fed_F0-0}{1}: [dhcpsn] [23451]: (debug): get di for vlan_id 10
2021/04/14 19:24:29.511780 {fed_F0-0}{1}: [dhcpsn] [23451]: (debug): Allocated rep_ri for vlan_id 10
2021/04/14 19:24:29.511780 {fed_F0-0}{1}: [inject] [23451]: (verbose): Changing di_handle from 0x7f7fac36b408 to 0x7f7fac23e438 by dhcp snooping
2021/04/14 19:24:29.511802 {fed_F0-0}{1}: [inject] [23451]: (debug): TX: getting REP RI from dhcpsn failed for egress vlan 10
c9500#set platform software trace fed [switch<num|active|standby>] asic_app verbose
c9500#show logging proc fed internal | inc dhcp
2021/04/14 20:13:56.742637 {fed_F0-0}{1}: [dhcpsn] [17035]: (info): VLAN event on vlan 10, enabled 0
2021/04/14 20:13:56.742783 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): vlan mode changed to disable
2021/04/14 20:14:13.948214 {fed_F0-0}{1}: [dhcpsn] [17035]: (info): VLAN event on vlan 10, enabled 1
2021/04/14 20:14:13.948686 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): Program trust ports for this vlan
2021/04/14 20:14:13.948688 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): GPN (10) if_id (0x0000000000000012) <<---- if_id must match with the TRUSTED port
2021/04/14 20:14:13.948740 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): trusted_if_q size=1 for vlan=10
2021/04/14 20:14:13.948753 {fed_F0-0}{1}: [dhcpsn] [17035]: (ERR): update ri has failed vlanid[10]
2021/04/14 20:14:13.948754 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): vlan mode changed to enable
Suggested Traces
set platform software trace fed [switch<num|active|standby>] pm_tdl verbose
set platform software trace fed [switch<num|active|standby>] pm_vec verbose
set platform software trace fed [switch<num|active|standby>] pm_vlan verbose
INJECT
set platform software trace fed [switch<num|active|standby>] dhcpsn verbose
set platform software trace fed [switch<num|active|standby>] asic_app verbose
set platform software trace fed [switch<num|active|standby>] inject verbose
PUNT
set platform software trace fed [switch<num|active|standby>] dhcpsn verbose
set platform software trace fed [switch<num|active|standby>] asic_app verbse
set platform software trace fed [switch<num|active|standby>] punt ver
Syslog والتفسيرات
انتهاكات حدود معدل DHCP.
الشرح: كشف التطفل على بروتوكول DHCP عن انتهاك معدل حد حزم DHCP على الواجهة المحددة.
%DHCP_SNOOPING-4-DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP Snooping received 300 DHCP packets on interface Fa0/2
%DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/2 is receiving more than the threshold set
انتحال خادم DHCP على منفذ غير موثوق به.
الشرح:اكتشفت ميزة التطفل على بروتوكول DHCP أنواعا معينة من رسائل DHCP غير المسموح بها على الواجهة غير الموثوق بها، والتي تشير إلى أن بعض المضيف يحاول العمل كخادم DHCP.
%DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT: DHCP_SNOOPING drop message on untrusted port, message type: DHCPOFFER, MAC sa: 5c5a.c7d6.9e1f
لا يتطابق عنوان MAC للطبقة 2 مع عنوان MAC داخل طلب DHCP.
الشرح: حاولت ميزة التطفل على بروتوكول DHCP التحقق من صحة عنوان MAC وفشل التحقق. لا يتطابق عنوان MAC المصدر في رأس الإيثرنت مع العنوان في حقل chaddr لرسالة طلب DHCP. يمكن أن يكون هناك مضيف ضار يحاول تنفيذ هجوم رفض الخدمة على خادم DHCP.
%DHCP_SNOOPING-5-DHCP_SNOOPING_MATCH_MAC_FAIL: DHCP_SNOOPING drop message because the chaddr doesn't match source mac, message type: DHCPINFORM, chaddr: 0000.0000.0000, MAC sa: 001c.4321.abcd
خيار 82 مسألة إدراج.
الشرح: اكتشفت ميزة التطفل على بروتوكول DHCP حزمة DHCP ذات قيم خيارات غير مسموح بها على المنفذ غير الموثوق به، وهو ما يشير إلى أن بعض المضيف يحاول العمل كخادم أو ترحيل DHCP.
%DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port
تم تلقي عنوان MAC للطبقة 2 على منفذ خاطئ.
الشرح: كشفت ميزة التطفل على بروتوكول DHCP عن مضيف يحاول تنفيذ هجوم رفض الخدمة على مضيف آخر في الشبكة.
%DHCP_SNOOPING-5-DHCP_SNOOPING_FAKE_INTERFACE: DHCP_SNNOPING drop message with mismatched source interface, the binding is not updated, message type: DHCPREQUEST, MAC sa: 0001.222.555.aaac
رسائل DHCP التي تم تلقيها على الواجهة غير الموثوق بها.
الشرح: اكتشفت ميزة التطفل على بروتوكول DHCP أنواعا معينة من رسائل DHCP غير المسموح بها على الواجهة غير الموثوق بها، والتي تشير إلى أن بعض المضيف يحاول العمل كخادم DHCP.
%DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT: DHCP_SNOOPING drop message on untrusted port: GigabitEthernet1/1, message type: DHCPOFFER, MAC sa: 1234.4567.abcd, vlan: 100, server IP: 10.0.0.1
فشل نقل التطفل على بروتوكول DHCP. تعذر الوصول إلى URL.
الشرح: فشل نقل ربط التطفل على بروتوكول DHCP.
%DHCP_SNOOPING-4-AGENT_OPERATION_FAILED: DHCP snooping binding transfer failed. Unable to access URL
علامات التطفل على بروتوكول DHCP
| رقم معرف الخطأ من Cisco |
الوصف |
| يفشل DHCP عندما DHCP snooping trust يكون مكنت على uplink EtherChannel. |
|
| لا يتم تحديث قاعدة بيانات التطفل على بروتوكول DHCP بعد إعادة التحميل. |
|
| تم إسقاط حركة مرور عميل DHCP باستخدام التطفل على بروتوكول DHCP ووصلات قناة المنفذ أو وصلات المكدس المتقاطعة. |
|
| إلغاء ربط ip dhcp التطفل وتتبع الجهاز. |
|
| يمكن أن يسقط التطفل على بروتوكول DHCP خيار DHCP رقم 82 حزم مع/ ip DHCP خيار معلومات التطفل السماح بغير موثوق به. |
|
| تعطل حالة ثقة التطفل على بروتوكول DHCP عندما يكون هناك تغيير في مقطع REP. |
|
| يرسل خادم DHCP حزمة NAK أثناء عملية تجديد DHCP. |
|
| لم يتم تحديث جدول التطفل على بروتوكول DHCP من ملف قاعدة بيانات التطفل على بروتوكول DHCP عند إعادة التحميل. |
التطفل على بروتوكول DHCP لحدود SDA
واجهة سطر الأوامر لإحصائيات التطفل على بروتوكول DHCP.
واجهة سطر أوامر (CLI) جديدة متوفرة ل SDA للتحقق من إحصائيات التطفل على بروتوكول DHCP.
| switch#show platform fabric border dhcp snooping ipV4 statistics |
| switch#show platform fabric border dhcp snooping ipV6 statistics |
SDA-9300-BORDER#show platform fabric border dhcp snooping ipv4 statistics Timestamp Source IP Destination IP Source Remote Locator Lisp Instance ID VLAN PROCESSED ERRORED Handler:Action ------------------- ---------- -------------- --------------------- ---------------- ----- --------- ------- ------------------- 08-05-2019 00:24:16 10.30.30.1 10.40.40.1 192.168.0.1 8189 88 10 0 PLATF_DHCP:RECEIVED 08-05-2019 00:24:16 10.30.30.1 10.40.40.1 192.168.0.1 8189 88 11 0 PLATF_DHCP:TO_GLEAN SDA-9300-BORDER#show platform fabric border dhcp snooping ipv6 statistics Timestamp Source IP Destination IP Source Remote Locator Lisp Instance ID VLAN PROCESSED ERRORED Handler:Action ------------------- ---------------------- ---------------------- --------------------- ---------------- ---- --------- ------- ------------------- 08-05-2019 00:41:46 11:11:11:11:11:11:11:1 22:22:22:22:22:22:22:1 192.168.0.3 8089 120 12 0 PLATF_DHCP:RECEIVED 08-05-2019 00:41:47 11:11:11:11:11:11:11:1 22:22:22:22:22:22:22:1 192.168.0.3 8089 120 12 0 PLATF_DHCP:TO_GLEAN
معلومات ذات صلة
دليل تكوين خدمات عنونة IP، Cisco IOS XE Amsterdam، الإصدار 17.3.x (محولات Catalyst 9200 Switches)
دليل تكوين خدمات عنونة IP، Cisco IOS XE Amsterdam، الإصدار 17.3.x (محولات Catalyst 9300 Switches)
دليل تكوين خدمات عنونة IP، Cisco IOS XE Amsterdam، الإصدار 17.3.x (محولات Catalyst 9400 Switches)
دليل تكوين خدمات عنونة IP، Cisco IOS XE Amsterdam، الإصدار 17.3.x (محولات Catalyst 9500 Switches)
دليل تكوين خدمات عنونة IP، Cisco IOS XE Amsterdam، الإصدار 17.3.x (محولات Catalyst 9600 Switches)
Cisco SD-Access Fabric Edge DHCP Process/Packet Flow and Decoding
تكوين التقاط حزمة وحدة المعالجة المركزية (CPU) الخاصة ب Fed على محولات Catalyst 9000 Switches
الدعم التقني والمستندات - Cisco Systems
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
3.0 |
12-Jun-2024 |
تم تحديث متطلبات النمط وتنسيقه. |
2.0 |
09-May-2023 |
مقدمة محدثة، ترجمة آلية، متطلبات النمط، جينات، متطلبات العلامة التجارية، التدقيق الإملائي والتنسيق. |
1.0 |
06-Aug-2021 |
الإصدار الأولي |
التعليقات